ACCESSO AI DOCUMENTI INFORMATICI

Il controllo degli accessi è assicurato utilizzando le credenziali di accesso ed un sistema di autorizzazione basato sulla profilazione degli utenti in via preventiva. La profilazione preventiva consente di definire le abilitazioni che possono essere effettuate da un utente del servizio di protocollo e gestione documentale. Queste, in sintesi, sono la consultazione, l’inserimento, la modifica, la cancellazione di dati / utenti.

Le relative politiche di composizione, di aggiornamento e, in generale, di sicurezza delle password, sono configurate sui sistemi di accesso come obbligatorie tramite il sistema operativo. Le credenziali di autenticazione sono nominative e la password di accesso deve essere costituita da almeno otto caratteri (alfanumerici, maiuscole e minuscole).

Inoltre, il Pdp prevede un sistema per il blocco delle utenze in caso di ripetuti inserimenti errati delle credenziali di accesso.Gli utenti che non effettuano l’accesso per un determinato periodo di tempo sono disattivati automaticamente. Il PdP adottato dalla AOO:

• consente il controllo differenziato dell’accesso alle risorse del sistema per ciascun

11 utente o gruppi di utenti;

• assicura il tracciamento di qualsiasi evento di modifica delle informazioni trattate e l’individuazione del suo autore. Tali registrazioni sono protette al fine di non con-sentire modifiche non autorizzate.

Ciascun utente del PdP può consultare tutti i documenti della AOO, eccetto per quelli riservati ad un determinato Ufficio Utente (UU).

3.6.1 UTENTI INTERNI ALLA AOO

I livelli di autorizzazione per l’accesso alle funzioni del sistema di gestione informatica dei documenti sono attribuiti dal RGD della AOO. Tali livelli si distinguono in: abilitazione alla consultazione, abilitazione all’inserimento, abilitazione alla cancellazione e alla modifica delle informazioni. Le utenze possono essere gestite solo dall’utente amministratore del Pdp.

3.6.2 ACCESSO AL REGISTRO DI PROTOCOLLO PER UTENTI INTERNI ALLA AOO

L’autorizzazione all’accesso ai registri di protocollo è consentita solo agli utenti abilitati al Pdp.

In particolare:

• l’utente amministratore del Pdp ha visibilità completa sul registro di protocollo;

• l’operatore che gestisce lo smistamento dei documenti può assegnare i documenti ai settori della AOO;

• il Responsabile del Protocollo di Settore (RPS) può inserire e consultare documenti;

• il Responsabile della Gestione documentale (RGD) può cancellare e modificare i documenti protocollati.

Nel caso in cui sia effettuata la registrazione di un documento sul protocollo riservato, la visibilità completa sul documento stesso è possibile solo agli utenti di quel settore.

3.6.3 UTENTI ESTERNI ALLA AOO - ALTRE AOO/AMMINISTRAZIONI

L’accesso al sistema di gestione informatica dei documenti dell’amministrazione da parte di altre AOO avviene nel rispetto dei principi della cooperazione applicativa, secondo gli standard e il modello architetturale del Sistema Pubblico di Connettività (SPC) di cui al decreto legislativo 28 febbraio 2005, n. 42.

Le AOO che accedono ai sistemi di gestione informatica dei documenti attraverso il SPC utilizzano funzioni di accesso per ottenere le seguenti informazioni:

• numero e data di registrazione di protocollo del documento inviato/ricevuto, oggetto, dati di classificazione, data di spedizione/ricezione ed eventuali altre informazioni aggiuntive opzionali;

• identificazione dell’Ufficio Utente di appartenenza del Responsabile della Procedura Amministrativa (RPA).

3.6.4 UTENTI ESTERNI ALLA AOO - PRIVATI

Per l’esercizio del diritto di accesso ai documenti, sono possibili due alternative: l’accesso diretto per via telematica e l’accesso attraverso l’Ufficio Relazioni con il Pubblico (URP).

12

L’accesso per via telematica da parte di utenti esterni all’amministrazione è consentito solo con strumenti tecnologici che permettono di identificare in modo certo il soggetto richiedente, quali: firme elettroniche, firme digitali, Carta Nazionale dei Servizi (CNS), Carta d’Identità Elettronica (CIE), sistemi di autenticazione riconosciuti dall’AOO. L’accesso attraverso l’URP prevede che questo ufficio sia direttamente collegato con il sistema di protocollo informatico e di gestione documentale sulla base di apposite abilitazioni di sola consultazione concesse al personale addetto.

Se la consultazione avviene allo sportello, di fronte all’interessato, a tutela della riservatezza delle registrazioni di protocollo, l’addetto posiziona il video in modo da evitare la diffusione di informazioni di carattere personale.Nei luoghi in cui è previsto l’accesso al pubblico e durante l’orario di ricevimento devono essere resi visibili, di volta in volta, soltanto dati o notizie che riguardino il soggetto interessato.

3.7 CONSERVAZIONE DEI DOCUMENTI INFORMATICI

La conservazione dei documenti informatici verrà regolata con l’attuazione del manuale di conservazione secondo il DPCM 3 dicembre 2013, in materia di conservazione dei documenti informatici.

3.7.1 SERVIZIO ARCHIVISTICO

Il responsabile del sistema archivistico dell’AOO ha individuato nella sede i locali dell’archivio dell’amministrazione.Il responsabile del servizio in argomento ha effettuato la scelta a seguito della valutazione dei fattori di rischio che incombono sui documenti (ad es. rischi dovuti all’ambiente in cui si opera, rischi nelle attività di gestione, rischi dovuti a situazioni di emergenza). Per contenere i danni conseguenti a situazioni di emergenza, il responsabile del servizio ha predisposto e reso noto, un piano individuando i soggetti incaricati di ciascuna fase. Sono state pure regolamentate minutamente le modalità di consultazione, soprattutto interne, al fine di evitare accessi a personale non autorizzato.

Il responsabile del servizio di gestione archivistica è a conoscenza, in ogni momento, della collocazione del materiale archivistico e ha predisposto degli elenchi di consistenza del materiale che fa parte dell’archivio di deposito e un registro sul quale sono annotati i movimenti delle singole unità archivistiche.

Per il requisito di “accesso e consultazione”, l’AOO garantisce la leggibilità nel tempo di tutti i documenti trasmessi o ricevuti adottando i formati previsti dalle regole tecniche vigenti, (ovvero altri formati non proprietari di seguito indicati).

3.7.2 SERVIZIO DI CONSERVAZIONE SOSTITUTIVA

Il responsabile della conservazione sostitutiva dei documenti fornisce le disposizioni, in sintonia con il piano generale di sicurezza e con le linee guida tracciate dal RGD, per una corretta esecuzione delle operazioni di salvataggio dei dati.

Le registrazioni di protocollo sono salvate giornalmente su un sistema di backup, secondo delle procedure definite dal Settore Innovazione Tecnologica.Le registrazioni giornaliere di protocollo sono inoltre riportate nel registro giornaliero di protocollo, da inviare in conservazione sostitutiva entro il giorno lavorativo successivo.

13